Новая разновидность вируса Conficker

Эксперты антивирусной компании Trend Micro заявили, что сетевой червь Conficer все-таки начал проявлять первые признаки активности и серверы компании уже на протяжении нескольких суток фиксируют растущие объемы пирингового трафика между инфицированными компьютерами.

Одновременно с этим, в блоге компании появилось сообщение об обнаружении нового варианта червя Conficker Worm_Downnad.E, который распространяется при помощи технологии p2p. Сообщается, что действию данного червя подвержены только пользователи операционной системы Windows. Сейчас специалисты Trend Micro исследуют образцы кода, но уже очевидно, что он как минимум работает в качестве кейлоггера и похищает закрытую информацию с зараженной машины.

Существующая на сегодня разновидность червя распространяется в различных .sys-файлах нескольких руткитов, причем само наличие вредоноcного кода в рутките обнаружить очень сложно, так как Conficker зашифрован исключительно стойкими алгоритмами шифрования. В блоге Trend Micro приводятся данные, согласно которым червь пытается тестировать интернет-соединения, обращаясь к сайтам MySpace.com, MSN.com, eBay.com, CNN.com и AOL.com.

На днях исследователи Trend Micro обнаружили, что многие зараженные машины начали передавать в больших объемах зашифрованный трафик на один из серверов, IP-адрес которого принадлежит корейскому сегменту глобальной сети. «Судя по всему, в новой версии червя Downad/Conficker основным методом коммуникации являются не HTTP-соединения с серверами, а P2P-соединения с другими инфицированными машинами», — говорится в блоге компании.

Источник: SecurityLab